Tieto aplikácie vymaž! Trójsky kôň Necro zaútočil na používateľov Androidu. Šíril sa aj cez Google Play a infikoval milióny smartfónov

Bezpečnostní experti postrehli, že na platformu Google Play prekĺzol známy trójsky kôň Necro. Pozor treba dávať aj na takzvané módy.

POZOR-aktualna-tema_titulka
Zdroj: Vosveteit.sk

Bezpečnostní experti zo Securelist varujú, že sa na platformu Google Play vrátil nebezpečný trójsky kôň Necro.  

Ako vysvetľujú analytici, nie je vzácne, že sa v Obchode Play objavia modifikované aplikácie. Vo väčšine prípadov ide o aplikácie, ktoré ponúkajú oproti originálu dodatočné funkcie, po ktorých síce užívatelia volali, no vývojár ich zatiaľ do pôvodnej aplikácie neimplementoval. Niekedy ide o dodatočné funkcie, ktoré by narušili integritu alebo súkromie užívateľov pôvodnej aplikácie.  

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

Takéto upravené aplikácie sa v online komunite častokrát označujú aj ako “módy” a hoci ponúkajú užívateľom nové funkcie, ktoré im napríklad dovoľujú sledovať kto im zrušil sledovanie alebo kto si pozerá najčastejšie ich profil, pomerne často vývojári módov do týchto rozšírení ukladajú aj malvér.  

Android zariadenia majú slabinu, kvôli ktorej sa pre nich malvér stane neviditeľný
Zdroj: Pixabay (clary2014, geralt), Bing Image Creator, Úprava: Vosveteit.sk

Pozor na modifikované aplikácie

Pre vývojárov s nečistými úmyslami je jednoduchšie do módu umiestniť malvér, pretože vo väčšine prípadov tieto neoficiálne rozšírenia nájdeme v neoficiálnych obchodoch, ktoré majú veľmi slabú, alebo prakticky nulovú moderáciu obsahu. Príklady infikovaných módov sa týkajú napríklad aplikácie WhatsApp. Tie boli v minulosti infikované malvérom CanesSpy. Neskôr bezpečnostní analytici odhalili aj reklamy na WhatsApp módy, ktoré obsahovali trójsky kôň Triada. Tieto reklamy sa nachádzali v populárnej aplikácií Snaptube.  

V tomto prípade však výskumníci opäť odhalili trójsky kôň Necro priamo na platforme Google Play.  

“Aj napriek tomu, že sa malvér v módoch šíri najčastejšie cez neoficiálne obchody, škodlivý softvér sa vie infiltrovať aj na platformu Google Play,” upozorňujú analytici.  

Trójsky kôň Necro nie je v online svete novinkou. Po prvýkrát si ho bezpečnostní experti všimli v aplikácií CamScanner. Táto aplikácia sa nachádzala v Obchode Play a užívateľom mala ponúkať možnosť skenovania a spracovania dokumentov. V tomto roku aplikáciu stiahlo viac ako 100-miliónov užívateľov po celom svete. Tentokrát sa scenár opakuje a bezpečnostní experti postrehli, že sa malvér Necro šíri dvoma spôsobmi. Prvým je distribúcia cez dve infikované aplikácie v Obchode Play, druhým šírenie cez modifikované verzie aplikácie Spotify, hry Minecraft a ďalších populárnych aplikácií.

„Nová verzia Necro Trojan infikovala rôzne populárne aplikácie vrátane herných modov, pričom niektoré z nich boli v čase písania tejto správy dostupné na Google Play. Spoločné publikum týchto zariadení presahuje 11 miliónov zariadení so systémom Android.“, hovoria experti na bezpečnosť.

Pozornosť bezpečnostných výskumníkov na seba strhla modifikovaná verzia Spotify ku koncu augusta tohto roku. Mód sa nazýva Spotify Plus a užívatelia si ho mohli stiahnuť z vlastnej neoficiálnej stránky. Táto stránka tvrdila, že mód je certifikovaný, bezpečný a oproti pôvodnej aplikácii poskytoval užívateľom niekoľko dodatočných funkcií. Bezpečnostní analytici sa rozhodli overiť bezpečnosť tejto aplikácie.  

Google Play_obchod s aplikaciami
Zdroj: flickr.com (Yuri Samoilov) (CC BY 2.0 DEED)

Nič nie je také, ako sa zdá  

Možno už tušíš, že analýza vedcov ukázala, že Spotify Plus nie je až tak bezpečnou aplikáciou, ako tvrdila stránka. Spolu s modifikovanou aplikáciou si užívateľ stiahol do zariadenia aj trójskeho koňa Necro.  

Nie je to však len modifikovaná aplikácia Spotify, ktorá obsahovala tento malvér. Kyberzločincom sa nejakým spôsobom podarilo dostať trójskeho koňa Necro aj do oficiálneho Obchodu Play. Tam sa malvér šíril cez niekoľko populárnych aplikácií. Jednou z nich bola aplikácia Wuta Camera – Nice Shot Always. Z názvu môžeme vyčítať, že ide o softvér na úpravu fotiek. 

Ďalšou infikovanou aplikáciou v Obchode Play je Max Browser-Private and Security. Hoci sa aplikácia vydáva za bezpečný internetový prehliadač, jej logo sa až nápadne podobá na logo prehliadača Microsoft Edge. Už to ťa môže varovať, že niečo nie je tak, ako by malo byť.  

Okrem toho malvér Necro obsahuje aj niekoľko modifikovaných verzii obľúbených hier. Medzi nimi nájdme:  

  • Minecraft 
  • Stumble Guys 
  • Car Parking Multiplayer 
  • Melon Sandbox 

Kód trójskeho koňa Necro ostáva relatívne nezmenený od poslednej analýzy v roku 2019. Ide o modulárny malvér, čo znamená, že kyberzločinci dokážu podľa potreby prispôsobiť funkciu malvéru. Môžu napríklad zbierať užívateľské dáta, ovládať zariadenie na diaľku, nabúrať sa do bankových účtov alebo čítať správy na zariadení pre obídenie dvojfaktorového overenia.  

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre